Des millions d’appareils Internet-of-Things (IoT) exécutant la version open source du système d’exploitation Android font partie du botnet Badbox 2.0, a averti le FBI.
Les cyber-criminels utilisent le botnet pour effectuer une fraude publicitaire et cliquer sur la fraude. L’accès et l’utilisation des appareils compromis sont également proposés à la vente via des services de proxy résidentiel, qui facilitent la distribution de logiciels malveillants, les attaques DDOS, les attaques de rachat de compte, la création de faux compte, etc.
“La menace Badbox 2.0 en particulier est convaincante en grande partie en raison de la nature de la saison libre de l’opération. Avec la porte dérobée en place, les appareils infectés pourraient être invités à effectuer toute équipe de cyberattaque un acteur de menace”, a déclaré les chercheurs avec une intelligence de menace et ses efforts de recherche de la sécurité de la sécurité humaine et de son équipement.
Badbox: la «préquelle»
Les chercheurs de la sécurité humaine ont dévoilé l’existence du premier botnet Badbox en 2023.
Il était composé principalement de boîtes à télévision connectée (CTV) sur le projet Open Source hors marque hors marque, smartphones et tablettes, qui avaient été équipées de la porte dérobée modulaire Triada avant d’avoir été emballée et expédiée.
Séparément de la porte dérobée préinstallée, les chercheurs ont également découvert de nombreuses applications Android, iOS et CTV équipées du module de fraude publicitaire Peachpit, qui avait été lié à l’opération Badbox.
Des actions perturbatrices ont été entrepris par Human, Google et Apple, mais le premier a noté que le botnet est susceptible de remonter, car la porte arrière Triada / Badbox ne peut pas être désinstallée, car elle est ancrée dans une partition non-wittable du firmware des appareils.
À la fin de 2024, le Bureau fédéral de la sécurité de l’information (BSI) de l’Allemagne a temporairement perturbé le botnet en interrompant la communication entre les appareils équipés de Badbox et le serveur de commande et de contrôle du botnet (C2), mais l’impact n’était évidemment pas durable.
En mars 2025, Human Security, Google, Trend Micro, ShadowServer et d’autres partenaires ont partiellement perturbé les opérations de Badbox 2.0, mais ont encore averti que les acteurs de la menace derrière Badbox et Badbox 2.0 sont susceptibles de s’adapter à nouveau et de relancer leurs opérations – et ils avaient raison.
“Les efforts de perturbation dirigés par des partenaires humains et des partenaires ne peuvent pas démonter la chaîne d’approvisionnement qui permet à ces acteurs de menace d’implanter la porte dérobée des appareils destinés aux mains des consommateurs”, a ajouté la société.
Votre appareil fait-il partie de Badbox 2.0?
Les appareils connectés à l’opération Badbox 2.0 incluent des tablettes bon marché, hors marque et non certifiées, des appareils de streaming TV, des projecteurs numériques, des systèmes d’infodivertissement de véhicules de rechange, des cadres d’image numériques et d’autres produits.
Les appareils sont fabriqués en Chine continentale et expédiés à l’échelle mondiale.
Plus d’un tiers d’entre eux sont situés au Brésil, où les appareils de projet open source Android à faible coût sont particulièrement populaires, a trouvé la sécurité humaine. «D’autres pays à nombre important comprennent les États-Unis, le Mexique, l’Argentine et la Colombie.»
Parmi les appareils infectés, les modèles de périphériques suivants:
Modèles d’appareils infectés par BadBox (source: sécurité humaine)
Outre la porte dérobée, certains appareils téléchargent également des applications apparemment légitimes mais malveillantes des marchés non officiels des applications (par exemple, «gagner un revenu supplémentaire», «Calculatrice de l’ovulation de grossesse»). Les «jumeaux» de ces mêmes applications, avec les mêmes noms, ont également été trouvés dans l’App Store officiel de Google, mais ils ne contenaient pas les modules de fraude publicitaire.
Le FBI a déclaré aux utilisateurs qu’ils devraient considérer la possibilité que leurs appareils soient infectés si:
- Ils ont des marchés ou des applications suspects installés
- Ils ont demandé aux utilisateurs de désactiver Google Play Protect ou ne sont pas Play Protect Certified
- Sont des dispositifs de streaming télévisés génériques qui ont été annoncés comme déverrouillés ou capables d’accéder au contenu gratuit
- Ont été vendus sous des marques méconnaissables
- Les utilisateurs ont détecté un trafic Internet inexpliqué ou suspect.
“Le public est invité à évaluer les appareils IoT dans leur maison pour toute indication de compromis et à envisager de déconnecter les appareils suspects de leurs réseaux”, a conseillé le FBI.
Ils ont également exhorté les utilisateurs à évaluer tous les appareils IoT connectés aux réseaux domestiques pour une activité suspecte, à éviter de télécharger des applications à partir de marchés non officiels et à mettre à jour régulièrement leurs appareils IoT.
Abonnez-vous à notre alerte e-mail de Breaking News pour ne jamais manquer les dernières violations, vulnérabilités et menaces de cybersécurité. Abonnez-vous ici!
